čer 15 19

EET a soukromí

Datum a čas	pátek 19. června 2015, 14:34
Tagy	soukromi pravo
Komentáře	11 (přejít na komentáře, přidat nový, sledovat pomocí RSS)
Přečteno	8011×
Popis	Bude elektronická evidence tržeb ohrožovat soukromí?

Nechci nijak hodnotit užitečnost/zbytečnost Elektronické evidence tržeb, na to jsou odborníci jiní. Vzhledem k tomu, o jak obří projekt ale jde, je zajímavé se podívat, co říká zákon o ochraně soukromí (převážně zákazníků). Text zákona visí od začátku června v Knihovně připravované legislativy

Zákazníci

TOPce se povedl pěkný vtip, jen na Facebooku jsem ho viděl sdílený několikrát.

Vaše žena neví, kolik piv v hospodě vypijete. Andrej áno. Jsme proti El. evidenci tržeb! http://t.co/kEKWx7Wjbp pic.twitter.com/4kTxVs01rR
— TOP 09 (@TOP09cz) June 3, 2015

Ale ne, je to opravdu jen vtip – žádná data o zákaznících se sbírat nebudou.

§ 19 stanoví rozsah dat jednoznačně:

§ 19 Rozsah zasílaných údajů
(1) Údajem o evidované tržbě zasílaným datovou zprávou je
a) daňové identifikační číslo poplatníka,
b) označení provozovny, ve které je tržba uskutečněna,
c) označení pokladního zařízení, na kterém je tržba evidována,
d) pořadové číslo účtenky,
e) datum a čas přijetí tržby nebo vystavení účtenky, pokud je vystavena dříve,
f) celková částka tržby,
g) bezpečnostní kód poplatníka,
h) podpisový kód poplatníka,
i) údaj, zda je tržba evidována v běžném nebo zjednodušeném režimu.
(2) Údajem o evidované tržbě zasílaným datovou zprávou je také
a) celková částka plateb určených k následnému čerpání,
b) celková částka plateb, které jsou následným čerpáním nebo zúčtováním platby,
c) daňové identifikační číslo poplatníka, který pověřil evidováním této tržby poplatníka, který tržbu eviduje,
d) základ daně z přidané hodnoty a daň podle sazeb daně z přidané hodnoty,
e) celková částka v režimu daně z přidané hodnoty pro cestovní službu,
f) celková částka v režimu daně z přidané hodnoty pro prodej použitého zboží.
(3) Způsob tvorby podpisového kódu poplatníka a bezpečnostního kódu poplatníka stanoví Ministerstvo financí vyhláškou.

Tzn. chybí zde cokoliv, co by identifikovalo zákazníka (například nějaký hash platební karty) nebo i položky, co nakupoval. Tedy snad.

Když se státu chce, tak dokáže ve vyhláškách velmi dobře specifikovat technické parametry (sloupce CSV, kódování). U EET je k dispozici veřejně vyhláška jenom jedna, která říká, že se použije SHA1, SHA256 a RSA2048 pro generování kódů.

Zatím tam chybí například povinnost komunikace přes šifrované spojení (HTTPS?), základní vymezení formátu (SOAP/XML, REST/JSON...?). Ano, na přesném technickém řešení se bude ještě pracovat, ale například povinnost šifrovaného spojení by měla být přímo v zákoně. Spíš než například nastavování doby odezvy (§ 21).

To, že evidované tržby nebudou obsahovat data identifikující zákazníky, bude stoprocentně jisté, až bude jasné, jak vypadá technické řešení. Zatím to ale opravdu nevypadá tak, že by sbírání dat o zákaznících bylo cílem MF. Pokud se bojíte tohohle, spíš si pročtěte podmínky zpracování osobních údajů u své banky (jako např „Souhlas udělujete za účelem nabídky obchodu, služeb a produktů členů skupiny a vybraných obchodních partnerů… za účelem marketingového zpracování, které nám umožní Bližší poznání vašich představ a potřeb, lepší přizpůsobení naší nabídky a zkvalitnění služeb poskytovaných…“ - to je citace od jedné české banky).

Prodejci

Prodejci (živnostníci) na tom budou samozřejmě hůře – každá účtenka obsahuje DIČ i označení provozovny (to je smysl tohohle zákona). V zákoně opět chybí ochrana dat – vlastně v samotném textu chybí i k čemu se celé EET dělá. Podle mého názoru by zde mělo být napsáno něco jako „Data se sbírají pro účely Finanční správy, přistoupit k nim mohou zaměstnanci FÚ pro účely kontroly daňového přiznání…“ (nebo čeho?).

Celý Zákon o EET se odkazuje v § 33 na Daňový řád, takže zde je například povinnost mlčenlivosti pro ty, co budou do EET nahlížet (§ 52 DŘ). Ale celé EET svým charakterem by mohlo mít lepší úpravu, která více odpovídá tomu, že to prostě jsou big data.

Může tato data používat MF ČR (nebo třeba ČNB nebo ČSÚ)? Upřímně řečeno, proč by nemohlo – pokud budou anonymizována, asi by pro tyto organizace nebylo špatné mít přehled o stavu ekonomiky podle jednotlivých měst, oborů činnosti a dalších parametrů v reálném čase. Třeba by bylo užitečné, kdyby se k těmto informacím umožnil přístup veřejně, pokud se správně nastaví hranice, kde už v datech nepůjde vyčíst obchodní tajemství.

Loterie

No a účtenková loterie je jenom taková perlička na dortu. Zákon počítá s tím, že jednou může být a to je asi tak všechno.

§ 35 Účtenková loterie
(1) Česká republika může pořádat účtenkovou loterii o věcné nebo peněžní ceny, které se lze zúčastnit pouze na základě zaslání účtenky nebo údaje povinně uváděného na účtence.
(2) Příslušnou organizační složkou státu k pořádání účtenkové loterie je Ministerstvo financí.
(3) Výdaje na pořádání účtenkové loterie, na peněžní ceny a na pořízení věcné ceny se hradí ze státního rozpočtu. (4) Na účtenkovou loterii se nepoužije zákon upravující provozování hazardních her.

Pro účast v loterii bude nejspíš nutné provázat nějaký osobní údaj (třeba tel. číslo mobilu nebo e-mail) s konkrétní účtenkou. Opět chybí, jak se naloží s takovými údaji, jestli se vymažou po slosování nebo třeba nějak uloží, jestli bude zákazník kontaktovný, pokud se ukáže, že takovou účtenku EET nezná. Nebo třeba, jestli loterie bude fungovat jako anonymní formulář, který bude chtít kontakt jen na výherce?

Na obranu MF: je dosti pravděpodobné, že cílem těchto dat není zjišťování, kde/kdo/co nakupuje, ale obyčejná snaha udat podvodníky a občas za to někdo dostane sporák. Loterie určitě nebude fungovat od 1. ledna 2016 (EET IMHO taky ne) - jestli ale na celé její fungování bude stačit vyhláška, uvidíme.

Závěr

Takovýto projekt prostě musí vzbuzovat spoustu otázek kolem soukromí a aktuální situace, která vypadá na přijetí za každou cenu s nereálným časováním, nereálným rozpočtem, moc prostoru otázce soukromí nedává.

RSS

Datum

Zákazníci

Prodejci

Loterie

Závěr

Nepřehlédněte